Neuer Standard für sichere Web-Verbindungen in Sicht Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


16.11.2010 Frank Ziemann*

Neuer Standard für sichere Web-Verbindungen in Sicht

Mit HSTS steht ein neuer Standard für sicher verschlüsselte Web-Verbindungen in den Startlöchern. Er forciert Server-seitig die Nutzung einer SSL-verschlüsselten Verbindung, auch wenn der Anwender diese nicht explizit anfordert.

Die meisten Web-Seiten werden unverschlüsselt übertragen, was in aller Regel auch unproblematisch ist. Doch spätestens bei der Nutzung von Online-Diensten wie Web-Mail oder sozialen Netzwerken, die eine Benutzeranmeldung erfordern, sollte eine Verschlüsselung aller übertragenen Daten erfolgen. Internet-Nutzer wissen oft gar nicht, dass eine Website auch eine gesicherte Verbindung anbietet. Hier soll HSTS in Zukunft Abhilfe schaffen.

HTTP Strict Transport Security (kurz: HSTS) ist ein Sicherheitsmechanismus, der zurzeit den Standardisierungsprozess der IETF (Internet Engineering Task Force) durchläuft. Wenn eine Website HSTS unterstützt, fordert sie den Besucher auf die sichere Verbindungsvariante zu nutzen statt der unverschlüsselten. Spionage-Tools wie Firesheep werden dann weitgehend nutzlos.

Eine Website signalisiert dem Browser mit einem speziellen HTTP-Header, dass sie eine verschlüsselte Verbindung anbietet:

Strict-Transport-Security: max-age=60000; includeSubdomains

Dabei gibt der Parameter "max-age" an, für wie viele Sekunden sich der Browser diese Information merken soll. Die optionale Angabe "includeSubdomains" teilt dem Browser mit, dass die Nutzung der SSL-Verschlüsselung auch für Sub-Domains (etwa mail.server.net) gelten soll.

Derzeit unterstützt Googles Web-Browser Chrome bereits HSTS, Firefox soll ab Version 4 hinzu kommen. Bereits jetzt können die Firefox-Erweiterungen Noscript und Force-TLS damit umgehen. Mit der Firefox-Erweiterung HTTPS Everywhere können Sie einen ähnlichen Effekt erzielen, nur eben Client-seitig. Microsofts neuer Browser Internet Explorer 9 ist dagegen noch nicht fit für HSTS.

* Frank Ziemann ist Redakteur der deutschen PC-Welt.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr

Hosted by:    Security Monitoring by: